Datele personale nu se pot transfera de la o autoritate la alta. Decizia CJUE

Anunțam într-un post anterior că vom explica mai detaliat cazurile recente ale Curții de Justiție ale Uniunii Europene (CJUE) din domeniul datelor cu caracter personal.

În cazul Bara vs CNAS – C 201/2014, Smaranda Bara și alții s-au îndreptat împotriva CNAS și ANAF pentru a ataca legalitatea transferului de date între cele două autorități.

Ce s-a întâmplat?

ANAF a colectat date personale pentru înregistrarea veniturilor. La un moment dat, a transmis aceste date și către Casa Națională de Asigurări de Sănătate, pe baza unui protocol între cele 2 instituții și fără a informa persoanele respective. Scopul transferului a fost ca CNAS să solicite plata restanțelor contribuțiilor la sistemul de asigurări de sănătate.

Care e problema?

Datele au fost colectate pentru un anumit scop de către o anumită autoritate. În cazul nostru, ANAF a colectat datele pentru a înregistra veniturile. Prelucrarea acelorași date de către CNAS reprezintă un alt scop în sine și este vorba de o altă autoritate publică, cu un alte atribuții și competențe. Între ANAF și CNAS există un protocol de colaborare din anul 2007 (Protocolul nr. P 5282/26.10.2007/95896/30.10.2007), dar acesta nu poate contraveni unei legi speciale, cum este Legea 677/2001 privind protecția datelor cu caracter personal.

A doua problemă majoră este că datele au fost transferate fără informarea și fără consimțământul persoanei. Aceste obligații specificate în Legea 677, trebuie respectate indiferent de protocolul stabilit de cele două instituții (care nici măcar nu este făcut public) conform principiului mai sus explicat.

Care sunt consecințele?

Decizia clarifică faptul că o autoritate publică nu poate transfera datele pe care le colectează pentru a le transmite unei alte autorități dacă nu informează despre o asemenea prelucrare sau un astfel de transfer sau nu are vreun alt temei legal în acest sens.

Asta înseamnă că poliția nu are voie să intre în baza de date a primăriei?

Nu, în cazurile în care datele sunt cerute de autoritățile de aplicare a legii (poliție, parchet etc), instituțiile publice trebuie să pună la dispoziție datele solicitate, în condițiile stabilite de lege. Există excepții prevăzute de Legea 677/2001 – vezi articolul 30.

În ce condiții pot autoritățile publice să acceseze datele altora?

Autoritățile publice trebuie să respecte toate obligații privind protecția datelor conform Legii 677/2001, în alte cuvinte trebuie să obțină consimțământul persoanei, să aibă un scop al prelucrării determinat, explicit și legitim, datele să fie prelucrate cu bună-credinţă, să fie adecvate, pertinente şi neexcesive, să fie exacte şi, dacă este cazul, actualizate – vezi articolul 4.

Analiza trebuie să fie făcută de la un caz la altul în funcție de atribuțiile instituției și scopul prelucrării – nu există o rețetă magică – cum ar fi ar fi o lege generală care să spună: “Autoritățile publice pot să acceseze datele personale colectate de alte autorități publice, dacă este în atribuțiile lor.”

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>